现在登录目标3389后，我看好多人都已经习惯抓密码HASH然后回来彩虹表破解出明文了，或者传个winloginhack来记录3389的登录密码。在我最近的几次渗透中，发现pwdump,fgdump这类工具现在已经不免杀了，而且这类工具都是要注入到lsass.exe进程的，遇到macfee这类的杀毒软件，默认是绕不过去的。Winlogin网上放出来的，经过我的测试，对WIN2008是没有效果的。今天浏览BLOG，看到老外提到另一种抓系统密码hash的技巧，经过实践，发现可行，分享给大家。首先使用administrator权限登录，然后使用reg来保存注册表中HKLM下的SECURITY,SAM,SYSTEM,注意这里必须使用reg的save选项，export选项是不行的

reg save hklm\sam sam.hive 
reg save hklm\system system.hive
reg save hklm\security security.hive

然后把sam.hive,system.hive,security.hive下载回本地，打开CAIN,在”Decoders”标签下，点”LSASecrets”,点”+”来导入system.hive和security.hive.

如图二：

这里一般就能看到管理员的明文密码了，如图3，当然这里的密码，有时候也是历史密码。如果尝试登录不对，可以来尝试爆破lm/ntlmhash.

要破解LM/NTLMhash，首先点”cracker”标签下的”LM&NTLMhashes”然后点”+”,导入sam.hive,注意由于现在的win2000以后都默认使用了syskey,

所以还要导入system.hive中的syskey的值，然后就可以彩虹表破解了。

如图4：

如图5: